恶意软件为了防止被分析,通过检测其是否在沙箱环境下而表现出不同的行为,这种技术被称为反调试、反虚拟化技术。为了对抗这种技术,恶意软件的分析人员一直致力于保证沙箱环境和真实机器的一致性。文章通过分析现有沙箱系统的语义监控能力、实现原理以及存在的安全性问题,总结出现有的基于模拟器的沙箱系统具有隔离性好、全系统视角以及监控效率高的优势。另外,文章分析了现有的基于模拟器的沙箱系统存在的透明性不足的原因。

• 单位
  中国科学院; 信息安全国家重点实验室; 中国科学院大学; 中国科学院信息工程研究所